專利名稱:基于目錄服務(wù)的授權(quán)管理系統(tǒng)及其實現(xiàn)方法
技術(shù)領(lǐng)域:
本發(fā)明涉及信息安全技術(shù)領(lǐng)域���,具體地,涉及一種基于目錄服務(wù)的授權(quán)管理系統(tǒng) 及其實現(xiàn)方法���。
背景技術(shù):
隨著政府��、企業(yè)信息化程度的提高�����,應(yīng)用系統(tǒng)數(shù)量逐步增長�。在用戶數(shù)量非常大���、 地域分步比較廣、應(yīng)用系統(tǒng)數(shù)量多的情況下�����,應(yīng)用系統(tǒng)的授權(quán)成為一件非常棘手的問題����。在 一個大的政府或者企事業(yè)單位,經(jīng)常會出現(xiàn)如下情況某一員工已經(jīng)離職�,還能正常訪問一 些很重要的應(yīng)用系統(tǒng);某一個員工職位已經(jīng)發(fā)生變動,應(yīng)用系統(tǒng)中仍對應(yīng)舊的權(quán)限�����;由于 臨時的業(yè)務(wù)需要����,在某應(yīng)用系統(tǒng)中為外地的某人注冊了賬號并開放了應(yīng)用權(quán)限,但是忘記 及時收回造成關(guān)鍵信息泄露����;雖然所有應(yīng)用都在自己的機房內(nèi),可主管信息化的決策者確 無法方便的拿到各個應(yīng)用系統(tǒng)權(quán)限授予情況�。如何能夠統(tǒng)一解決資源的有效共享、如何及 時���、快速���、有效的管理用戶的訪問權(quán)限,成為擺在應(yīng)用系統(tǒng)發(fā)展的決策者�、業(yè)務(wù)管理者面前 的一道難題。針對用戶的統(tǒng)一認證授權(quán)和安全訪問控制�,目前也提出了非常多的解決方案(1)、專利申請CN 200710191525.8(申請日:2007. 12. 12����,名稱基于數(shù)字證書和 多級域下的統(tǒng)一身份管理和認證方法)中公開了一種基于數(shù)字證書和多級域下的統(tǒng)一身 份管理和認證方法���,首先進行用戶身份維護;采用定時與人力資源系統(tǒng)進行用戶身份信息 同步��;通過人工維護方式�����,完成用戶數(shù)據(jù)信息的管理���;用戶身份信息同步到域�;將用戶身份 信息通過標準的LDAP協(xié)議���,按照用戶所屬單位同步到相應(yīng)的AD子域中;實現(xiàn)用戶認證���。本 發(fā)明可以通過用戶單點登錄即可實現(xiàn)對多個業(yè)務(wù)系統(tǒng)的訪問�����,但不能解決用戶在多個業(yè)務(wù) 系統(tǒng)中的統(tǒng)一權(quán)限管理問題�����。(2)�、專利申請CN 200610076491. 3 (申請日:2006. 04. 26,名稱信息系統(tǒng)或 設(shè)備的安全防護系統(tǒng)及其工作方法)�����、CN 200810040672. X (申請日2008.07. 17��,名 稱基于數(shù)字證書技術(shù)的系統(tǒng)用戶訪問管理系統(tǒng)及方法)�����、CN 200810040674.9(申請 日2008.07. 17��,名稱一種基于數(shù)字證書技術(shù)的信息系統(tǒng)的訪問控制方法及裝置)�、 CN 200620100455. 1(申請日2006. 01. 18,名稱一種網(wǎng)絡(luò)安全認證授權(quán)系統(tǒng))和CN 200710147233.4(申請日2007.08. 30����,名稱分布式業(yè)務(wù)運營支撐系統(tǒng)和分布式業(yè)務(wù)的實 現(xiàn)方法)都公開了一種對登錄用戶進行身份認證、并在通過認證后獲取其相應(yīng)的訪問權(quán)限 的技術(shù)方案���,但這些技術(shù)方案中缺乏用戶權(quán)限信息的安全管理���,不能有效避免人為篡改的 可能性����,并且所支持的用戶數(shù)量有限����,不能解決大量用戶(特別是數(shù)量眾多且不在系統(tǒng)內(nèi) 注冊的用戶)的統(tǒng)一授權(quán)和安全訪問控制問題。浙江大學的專利申請CN 200810062264. 4(申請日2008.06. 17�,名稱基于PKI 和PMI的Web服務(wù)安全控制機制)中公開了一種基于PKI和PMI的Web服務(wù)安全控制機制。 其包括�����、PMI和Web服務(wù)安全系統(tǒng)����,用戶通過PKI系統(tǒng)申請身份證書,再根據(jù)身份證書去 PMI系統(tǒng)申請屬性證書��,屬性證書將用戶的身份關(guān)聯(lián)到一個或多個角色上�,PMI系統(tǒng)預(yù)定義的策略證書將角色綁定到一個或多個Web服務(wù)上去����,用戶使用Web服務(wù)時����,Web安全系統(tǒng)幫 助PKI系統(tǒng)檢查身份證書的合法性���,再幫助PMI系統(tǒng)檢查用戶是否有權(quán)限調(diào)用該Web服務(wù)����, 當所有檢查都通過時�,允許用戶訪問Web服務(wù),以實現(xiàn)安全的Web服務(wù)調(diào)用����。本發(fā)明中用戶 使用身份證書申請屬性證書,并指定所申請的角色�,由管理員審核后獲得相應(yīng)的屬性證書, 權(quán)限��、角色的賦予主要針對用戶的個人申請��,不能對群體用戶的權(quán)限和角色進行定義��,所支 持的用戶數(shù)量有限�����,不能支持數(shù)量眾多且不在系統(tǒng)內(nèi)注冊的用戶。以上技術(shù)方案都存在的缺點是��,不能對大量的用戶群體(特別是數(shù)量眾多且不在 系統(tǒng)內(nèi)注冊的用戶群體)進行授權(quán)�,并將所述授權(quán)信息以屬性證書的可靠形式發(fā)布,從而 實現(xiàn)多個應(yīng)用系統(tǒng)的統(tǒng)一用戶授權(quán)管理和安全訪問控制����。本公司同時申報的專利授權(quán)管理系統(tǒng)及其實現(xiàn)方法,發(fā)明了一種授權(quán)管理系統(tǒng) 及其實現(xiàn)方法�,對用戶群體進行授權(quán),并將所述授權(quán)信息以屬性證書的形式發(fā)布�����,從而可以 為若干個應(yīng)用系統(tǒng)提供統(tǒng)一的用戶授權(quán)信息和安全訪問控制�。本發(fā)明在其基礎(chǔ)上做了進一 步改進,在對用戶統(tǒng)一授權(quán)的基礎(chǔ)上�����,在用戶分布較集中的多個區(qū)域設(shè)置多個PMI從目錄 服務(wù)器����,PMI從目錄服務(wù)器根據(jù)策略將屬于本地用戶的授權(quán)信息復(fù)制、同步到本地�����,為本地 應(yīng)用系統(tǒng)提供授權(quán)信息��,從而本地應(yīng)用系統(tǒng)可以快速獲取用戶授權(quán)信息��,并增加系統(tǒng)安全 性�����、有效降低大量用戶并發(fā)時對系統(tǒng)所造成的負載���。本公司還同時申報了專利分布式授權(quán)管理系統(tǒng)及其實現(xiàn)方法�,發(fā)明了一種分布 式授權(quán)管理系統(tǒng)及其實現(xiàn)方法�����,采用PKI和PMI技術(shù)��,設(shè)置若干個權(quán)限管理子平臺���,每個權(quán) 限管理子平臺將屬于管轄領(lǐng)域內(nèi)的用戶群體和應(yīng)用角色之間的授權(quán)信息以屬性證書的形 式發(fā)布���,為管轄領(lǐng)域內(nèi)的若干個應(yīng)用系統(tǒng)提供用戶的授權(quán)信息���,并通過授權(quán)管理總平臺統(tǒng) 一監(jiān)控和共享授權(quán)信息。本發(fā)明由授權(quán)管理平臺統(tǒng)一對所有應(yīng)用系統(tǒng)和用戶進行權(quán)限管 理�,并在用戶分布較集中的若干個區(qū)域設(shè)置相應(yīng)的PMI本地從目錄服務(wù)器,PMI從目錄服務(wù) 器根據(jù)策略將屬于本地應(yīng)用裝置的屬性證書復(fù)制到本地����,從而快速為本區(qū)域內(nèi)的本地應(yīng)用 系統(tǒng)提供用戶授權(quán)信息,其應(yīng)用模式精簡���,易于安裝���,投資成本低。
發(fā)明內(nèi)容
本發(fā)明所要解決的技術(shù)問題是提供一種基于目錄的授權(quán)管理系統(tǒng)及其實現(xiàn)方 法��,由授權(quán)管理平臺統(tǒng)一對應(yīng)用系統(tǒng)和用戶進行權(quán)限管理和安全訪問控制�,將用戶群體和 應(yīng)用角色之間的授權(quán)信息以屬性證書的形式發(fā)布,并在用戶分布較集中的若干個區(qū)域設(shè)置 相應(yīng)的PMI本地從目錄服務(wù)器���,PMI從目錄服務(wù)器根據(jù)策略將屬于本地應(yīng)用裝置的屬性證 書復(fù)制到本地�����,從而快速為本區(qū)域內(nèi)的本地應(yīng)用系統(tǒng)提供用戶授權(quán)信息�����。本發(fā)明中提供一種基于目錄的授權(quán)管理系統(tǒng)�,包括授權(quán)管理平臺���,至少一個本地 從目錄服務(wù)裝置和至少一個本地應(yīng)用裝置����,所述授權(quán)管理平臺至少包括權(quán)限管理裝置�,用于對系統(tǒng)包含有用戶群體、應(yīng)用角色的授權(quán)要素進行維護�,建立 用戶群體到應(yīng)用角色的授權(quán)關(guān)系,并將所述授權(quán)信息發(fā)布到PMI主目錄服務(wù)器上�;PMS管理器,用于管理員和系統(tǒng)的交互���;屬性證書簽發(fā)裝置����,用于建立屬性權(quán)威源��,接收權(quán)限管理裝置發(fā)送來的授權(quán)信息, 并將所述信息簽發(fā)成屬性證書后返回給權(quán)限管理裝置���;CA目錄服務(wù)器��,用于遵循LDAP標準為權(quán)限管理裝置提供用戶數(shù)字證書的目錄服務(wù)���;PMI主目錄服務(wù)器,用于遵循LDAP標準提供屬性證書的目錄服務(wù)�,并按權(quán)限管理 裝置發(fā)送來的屬性證書撤銷列表刪除相應(yīng)的屬性證書;所述本地從目錄服務(wù)裝置至少包括PMI本地從目錄服務(wù)器�����,用于按照本地復(fù)制策略與PMI主目錄服務(wù)器進行本地數(shù) 據(jù)同步����,并為中間件裝置提供本地應(yīng)用裝置屬性證書的目錄服務(wù);中間件裝置���,用于接收本地應(yīng)用裝置轉(zhuǎn)發(fā)的用戶登錄請求�,對用戶數(shù)字證書的合 法性進行驗證���,在PMI本地從目錄服務(wù)器�、或PMI主目錄服務(wù)器中查找所述用戶相對應(yīng)的屬 性證書,并將從屬性證書中所獲取的角色信息返回給本地應(yīng)用裝置�,所述用戶的屬性證書 包括有規(guī)則群體、工作組或個人的屬性證書����,所述角色信息包括有規(guī)則群體、工作組或個人 角色信息����;所述授權(quán)管理平臺和本地從目錄服務(wù)裝置通過互聯(lián)網(wǎng)相連���,本地從目錄服務(wù)裝置 和本地應(yīng)用裝置通過局域網(wǎng)相連�。本發(fā)明還提供一種基于目錄的授權(quán)管理系統(tǒng)的實現(xiàn)方法�����,所述授權(quán)管理平臺和本 地從目錄服務(wù)裝置通過互聯(lián)網(wǎng)相連�,本地從目錄服務(wù)裝置和本地應(yīng)用裝置通過局域網(wǎng)相 連,包括以下步驟步驟1 權(quán)限管理裝置從CA目錄服務(wù)器上獲取數(shù)字證書�,讀取人員及相應(yīng)的組織 機構(gòu)信息;步驟2 權(quán)限管理裝置生成用戶群體���;步驟3 權(quán)限管理裝置讀取若干個應(yīng)用裝置相對應(yīng)的應(yīng)用角色�����;步驟4 權(quán)限管理裝置建立用戶群體和應(yīng)用角色之間的授權(quán)關(guān)系���;步驟5 權(quán)限管理裝置將所述授權(quán)信息發(fā)送至屬性證書簽發(fā)裝置���;步驟6 屬性證書簽發(fā)裝置簽發(fā)屬性證書,并將所述屬性證書返回給權(quán)限管理裝 置��;步驟7 權(quán)限管理裝置將所述屬性證書發(fā)布至PMI主目錄服務(wù)器上��;步驟8 =PMI本地從目錄服務(wù)器與PMI主目錄服務(wù)器進行本地數(shù)據(jù)同步����。與現(xiàn)有技術(shù)相比,本發(fā)明的有益效果是通過數(shù)字證書提取用戶的身份及屬性信息�����,能確保用戶身份信息的真實性���;對用 戶群體以規(guī)則群體�����、工作組和個人的方式進行授權(quán)�����,對數(shù)量眾多且不在系統(tǒng)內(nèi)注冊的用戶 均可以提供支持���;將授權(quán)信息使用屬性證書進行發(fā)布��,可以有效避免人為篡改的可能性�����; 由授權(quán)管理平臺對用戶進行統(tǒng)一授權(quán),并在用戶分布較集中的區(qū)域只設(shè)置一個本地從目錄 服務(wù)裝置��,根據(jù)策略將屬于本地應(yīng)用裝置的屬性證書復(fù)制到本地����,為本地應(yīng)用系統(tǒng)快速提 供用戶授權(quán)信息,其應(yīng)用模式精簡����、易于安裝,還進一步增加了系統(tǒng)安全性�、有效降低大量 用戶并發(fā)時對系統(tǒng)所造成的負載��;當PMI本地從目錄服務(wù)器出現(xiàn)問題時���,可以由授權(quán)管理 平臺的PMI主目錄服務(wù)器(或PMI從目錄服務(wù)器)繼續(xù)提供授權(quán)信息,從而提高系統(tǒng)可用 性��、降低維護成本����。
圖1為系統(tǒng)部署圖。
圖2為授權(quán)管理系統(tǒng)結(jié)構(gòu)圖���。圖3為權(quán)限管理裝置結(jié)構(gòu)圖�����。圖4為權(quán)限管理服務(wù)部件結(jié)構(gòu)圖�����。圖5為本地從目錄服務(wù)裝置結(jié)構(gòu)圖�����。圖6為屬性證書發(fā)布流程圖��。圖7為修改授權(quán)信息的流程圖�。圖8為PMI本地從目錄服務(wù)器同步本地授權(quán)信息流程圖。圖9為用戶登錄應(yīng)用裝置的流程圖��。圖10為中間件裝置將查找到的用戶應(yīng)用角色信息返回給本地應(yīng)用裝置的流程 圖�。
具體實施例方式如圖1所示,為基于目錄的授權(quán)管理系統(tǒng)的物理部署圖�,系統(tǒng)由授權(quán)管理平臺1, 至少一個本地從目錄服務(wù)裝置2��、至少一個本地應(yīng)用裝置3��、至少一個用戶裝置4組成��,其 中����,授權(quán)管理平臺1和本地從目錄服務(wù)裝置2通過互聯(lián)網(wǎng)相連����,本地從目錄服務(wù)裝置2、本地 應(yīng)用裝置3和用戶裝置4通過局域網(wǎng)相連����。授權(quán)管理平臺1���,用于對系統(tǒng)包含有用戶群體、應(yīng)用角色的授權(quán)要素和授權(quán)關(guān)系進 行管理和維護��,并將所述授權(quán)信息簽發(fā)成屬性證書���,對外提供基于LDAP協(xié)議的屬性證書的 目錄服務(wù)�����。本地從目錄服務(wù)裝置2����,用于為本地應(yīng)用裝置3提供用戶的角色信息��。本地應(yīng)用裝置3���,用于接收用戶裝置4發(fā)出的登錄請求�����,并根據(jù)本地從目錄服務(wù)裝 置2返回的所述用戶的應(yīng)用角色信息��,向用戶提供基于所述應(yīng)用角色的應(yīng)用資源信息�。用戶裝置4,用于向本地應(yīng)用裝置3發(fā)出登錄請求��,訪問所述應(yīng)用資源信息���。用戶 裝置4可以是用戶計算機����、手機等�����。如圖2所示���,授權(quán)管理平臺1��,包含有權(quán)限管理裝置11�����、PMS管理器12、屬性證書簽 發(fā)裝置13��、CA目錄服務(wù)器14、PMI主目錄服務(wù)器15�、PMI從目錄服務(wù)器16。權(quán)限管理裝置11�,和PMS管理器12、屬性證書簽發(fā)裝置13����、CA目錄服務(wù)器14、PMI 主目錄服務(wù)器15相連���,用于對系統(tǒng)包含有用戶群體�、應(yīng)用角色的授權(quán)要素進行維護��,建立 用戶群體到應(yīng)用角色的授權(quán)關(guān)系�����,并將所述授權(quán)信息發(fā)布到PMI主目錄服務(wù)器15上��。所述 用戶群體包括有三種類型1�����、規(guī)則群體根據(jù)用戶具有的屬性信息制定相應(yīng)的規(guī)則群體表達式�,利用所述規(guī) 則群體表達式來創(chuàng)建規(guī)則群體����,所述規(guī)則群體適用于用戶群較大�、分布地域較廣、無法將全 部用戶在本地應(yīng)用裝置3中注冊的場景�����。2��、工作組由于本地應(yīng)用裝置3的業(yè)務(wù)發(fā)展需要�����,若干個用戶需要具有相同的角 色��,但無法或不便用規(guī)則群體表達式來創(chuàng)建規(guī)則群體�����,即可創(chuàng)建工作組����,將所述若干個用戶 劃分為一個工作組。3�����、個人零散的個人用戶�。如圖3所示,權(quán)限管理裝置11進一步包含有權(quán)限管理服務(wù)部件111�����、數(shù)據(jù)同步校驗 服務(wù)部件112�、屬性證書發(fā)布服務(wù)部件113和數(shù)據(jù)庫114。
其中��,權(quán)限管理服務(wù)部件111����,用于生成用戶群體、本地應(yīng)用裝置3對應(yīng)的應(yīng)用角 色信息�,建立用戶群體和應(yīng)用角色之間的授權(quán)關(guān)系,并將所述授權(quán)信息交由屬性證書簽發(fā) 裝置13簽發(fā)�����。如圖4所示���,權(quán)限管理服務(wù)部件111進一步包含有應(yīng)用管理單元1111�����、群體 管理單元1112和授權(quán)管理單元1113���。應(yīng)用管理單元1111���,用于對所有本地應(yīng)用裝置3進行注冊,當注冊信息發(fā)送變化 時�����,向授權(quán)管理單元1113發(fā)送修改授權(quán)關(guān)系請求消息�����。注冊信息包括有1�����、注冊本地應(yīng)用裝置3的標識名稱(每個本地應(yīng)用裝置3的名稱對應(yīng)一個唯一標 識碼)��、部署地��、權(quán)限有效期限等信息��。2、添加各個本地應(yīng)用裝置3所對應(yīng)的應(yīng)用角色信息��,添加方式可以手工輸入或指 定格式字典批量導入的方式�����。群體管理單元1112�����,用于從CA目錄服務(wù)器14上獲取人員信息��,并生成��、維護用 戶群體信息����,當用戶群體信息發(fā)送變化時�����,向授權(quán)管理單元1113發(fā)送修改授權(quán)關(guān)系請求消 息���。包括有1��、根據(jù)規(guī)則群體表達式�,生成規(guī)則群體。2�、創(chuàng)建、并維護工作組及成員�����。授權(quán)管理單元1113��,用于建立用戶群體和應(yīng)用角色之間的授權(quán)關(guān)系����,或者接收其 他單元發(fā)送來的修改授權(quán)關(guān)系請求消息,將所述新的授權(quán)信息發(fā)送至屬性證書簽發(fā)裝置13 進行簽發(fā)�。數(shù)據(jù)同步校驗服務(wù)部件112,用于按照定制策略��,對數(shù)據(jù)庫114與PMI主目錄服務(wù) 器15上發(fā)布數(shù)據(jù)的一致性進行校驗����。例如定時檢查數(shù)據(jù)庫114中所保存的屬性證書是否 與PMI主目錄服務(wù)器15上的發(fā)布數(shù)據(jù)是否一致,如果不一致����,則通知屬性證書發(fā)布服務(wù)部 件113將更新數(shù)據(jù)發(fā)布到PMI主目錄服務(wù)器15上���。屬性證書發(fā)布服務(wù)部件113,用于將屬性證書簽發(fā)裝置13簽發(fā)的屬性證書發(fā)送給 PMI主目錄服務(wù)器15��,所述授權(quán)信息包括有規(guī)則群體屬性證書���、工作組屬性證書�、個人屬性 證書�����、屬性證書撤銷列表���。數(shù)據(jù)庫114,用于保存系統(tǒng)數(shù)據(jù)����,例如系統(tǒng)所包含的規(guī)則群體表達式、工作組�、應(yīng)用 角色、授權(quán)關(guān)系等���。PMS管理器12��,和權(quán)限管理裝置11相連��,用于管理員和系統(tǒng)的交互���,可采取基于 web瀏覽器的管理模式��,管理員可進行如下操作1�����、添加�����、修改本地應(yīng)用裝置3的注冊信息��。2���、查看人員信息及相關(guān)的組織結(jié)構(gòu)信息,添加��、修改用戶群體信息�,如規(guī)則群體表 達式�、工作組及成員�。3、建立���、修改��、注銷用戶群體和應(yīng)用角色之間的授權(quán)關(guān)系及對應(yīng)的屬性證書�。屬性證書簽發(fā)裝置13�����,和權(quán)限管理裝置11相連�,用于建立屬性權(quán)威源,接收權(quán)限 管理裝置11發(fā)送來的授權(quán)信息����,并將所述信息簽發(fā)成屬性證書后返回給權(quán)限管理裝置11�。 屬性證書簽發(fā)裝置13讀取權(quán)限管理裝置11發(fā)送來的指定格式的報文,解析�����、獲得用戶群 體和應(yīng)用角色之間的授權(quán)信息�����,將所述授權(quán)信息簽發(fā)成符合RFC3^1V4標準格式的屬性證 書,并將所述屬性證書返回給權(quán)限管理裝置11��。如果需要廢除授權(quán)允許����,則簽發(fā)一個屬性證 書撤銷列表(ACRL)。所述屬性證書包括有以下幾種
1����、規(guī)則群體屬性證書,定義規(guī)則群體與應(yīng)用角色之間的授權(quán)關(guān)系���,包括有規(guī)則群 體定義的XML編碼���、本地應(yīng)用裝置3、應(yīng)用角色�����、有效期限等信息�。2、工作組屬性證書����,定義工作組與應(yīng)用角色之間的授權(quán)關(guān)系�,包括有工作組名稱���、 工作組成員��、本地應(yīng)用裝置3��、應(yīng)用角色����、有效期限等信息���。3����、個人屬性證書��,定義用戶個人與應(yīng)用角色之間的授權(quán)關(guān)系�����,包括有用戶個人���、本 地應(yīng)用裝置3��、應(yīng)用角色��、有效期限等信息���。CA目錄服務(wù)器14,和權(quán)限管理裝置11相連����,用于遵循LDAP標準為權(quán)限管理裝置 11提供用戶數(shù)字證書的目錄服務(wù)。所述數(shù)字證書包括有用戶及組織結(jié)構(gòu)信息����。PMI主目錄服務(wù)器15,和權(quán)限管理裝置11�、PMI從目錄服務(wù)器16相連,用于遵循 LDAP標準提供屬性證書的目錄服務(wù)�����,并按權(quán)限管理裝置11發(fā)送來的屬性證書撤銷列表刪 除相應(yīng)的屬性證書�����。所發(fā)布的授權(quán)信息包括有規(guī)則群體屬性證書、工作組屬性證書���、個人屬 性證書�����、屬性證書撤銷列表等��。PMI從目錄服務(wù)器16���,和PMI主目錄服務(wù)器15、本地從目錄服務(wù)裝置2相連�����,用于 與PMI主目錄服務(wù)器15進行數(shù)據(jù)同步�,并對外提供符合LDAP協(xié)議的目錄服務(wù)。值得一提 的是����,PMI從目錄服務(wù)器16是系統(tǒng)的可選組件,系統(tǒng)可以根據(jù)需要去掉該組件���,并由PMI主 目錄服務(wù)器15直接對本地從目錄服務(wù)裝置2提供符合LDAP協(xié)議的目錄服務(wù)�,PMI從目錄 服務(wù)器16的設(shè)置可以進一步加強系統(tǒng)安全性���。如圖5所示����,本地從目錄服務(wù)裝置2�����,包含有PMI本地從目錄服務(wù)器21和中間件裝 置22�����。PMI本地從目錄服務(wù)器21����,用于按照本地復(fù)制策略與PMI主目錄服務(wù)器15 (或PMI 從目錄服務(wù)器16)進行本地數(shù)據(jù)同步,并為中間件裝置22提供本地應(yīng)用裝置3屬性證書的 目錄服務(wù)����。PMI本地從目錄服務(wù)器21接收PMI主目錄服務(wù)器15 (或PMI從目錄服務(wù)器16) 新發(fā)布的與本地應(yīng)用裝置3相關(guān)的屬性證書,并根據(jù)屬性證書撤銷列表刪除本地對應(yīng)的屬 性證書�。中間件裝置22,用于接收本地應(yīng)用裝置3轉(zhuǎn)發(fā)的用戶登錄請求����,對用戶數(shù)字證書 的合法性進行驗證��,在PMI本地從目錄服務(wù)器21����、PMI從目錄服務(wù)器16或PMI主目錄服務(wù)器 15中查找所述用戶相對應(yīng)的屬性證書���,并將從屬性證書中所獲取的角色信息返回給本地應(yīng) 用裝置3����,所述用戶屬性證書包括有規(guī)則群體����、工作組或個人的屬性證書,所述角色信息包 括有規(guī)則群體��、工作組或個人角色信息���。首先����,系統(tǒng)需要獲取用戶及屬性信息、本地應(yīng)用裝置3及應(yīng)用角色信息����,建立用戶 群體到應(yīng)用角色的授權(quán)關(guān)系���,并將所述授權(quán)信息簽發(fā)成屬性證書進行發(fā)布��。如圖6所示�����,為 屬性證書的發(fā)布流程��,具體步驟如下步驟1 權(quán)限管理裝置11的權(quán)限管理服務(wù)部件111從CA目錄服務(wù)器14上獲取數(shù) 字證書��,讀取人員及相應(yīng)的組織機構(gòu)信息(步驟S1001)����。權(quán)限管理裝置11根據(jù)業(yè)務(wù)需要�, 按照檢索條件從CA目錄服務(wù)器14上獲取相應(yīng)用戶的數(shù)字證書信息。步驟2 權(quán)限管理裝置11的權(quán)限管理服務(wù)部件111生成用戶群體(步驟S1002)���。 用戶群體包括有規(guī)則群體���、工作組和個人��。其中規(guī)則群體的生成過程如下管理員通過PMS管理器12定義規(guī)則群體表達式���, 權(quán)限管理服務(wù)部件111的群體管理單元1112根據(jù)規(guī)則群體表達式,讀取數(shù)字證書中的用戶屬性信息����,創(chuàng)建對應(yīng)的規(guī)則群體。例如���,管理員定義規(guī)則群體表達式((市=北京市&&機構(gòu)=總公司))&&(部門=研發(fā)中心)&&((任職=正職)II (任 職=副職))�����,群體管理單元1112讀取數(shù)字證書中的用戶所屬市���、機構(gòu)、部門�����、職務(wù)等屬性信息�, 創(chuàng)建對應(yīng)的規(guī)則群體北京市總公司研發(fā)中心領(lǐng)導���。工作組的生成過程如下管理員通過PMS管理器12查看人員信息及相關(guān)的組織結(jié) 構(gòu)信息,并選擇組織機構(gòu)樹上的若干人員定義工作組����,權(quán)限管理服務(wù)部件111的群體管理 單元1112讀取管理員定義的工作組信息,創(chuàng)建對應(yīng)的工作組�。步驟3 權(quán)限管理裝置11的權(quán)限管理服務(wù)部件111讀取若干個本地應(yīng)用裝置3相 對應(yīng)的應(yīng)用角色(步驟S1003)����。如表1所示,根據(jù)用戶所屬的市���、機構(gòu)�、部門�、職務(wù)可以劃分 成多個應(yīng)用角色,每個應(yīng)用角色對應(yīng)一個唯一的角色編碼�。表1應(yīng)用角色和角色編碼對應(yīng)關(guān)系表
權(quán)利要求
1.一種基于目錄服務(wù)的授權(quán)管理系統(tǒng),包括授權(quán)管理平臺����,至少一個本地從目錄服務(wù) 裝置,至少一個本地應(yīng)用裝置和至少一個用戶裝置��,其特征在于,所述授權(quán)管理平臺至少包括權(quán)限管理裝置����,用于對系統(tǒng)包含有用戶群體、應(yīng)用角色的授權(quán)要素進行維護�����,建立用戶 群體到應(yīng)用角色的授權(quán)關(guān)系�����,并將所述授權(quán)信息發(fā)布到PMI主目錄服務(wù)器上�; PMS管理器,用于管理員和系統(tǒng)的交互���;屬性證書簽發(fā)裝置���,用于建立屬性權(quán)威源,接收權(quán)限管理裝置發(fā)送來的授權(quán)信息��,并將 所述信息簽發(fā)成屬性證書后返回給權(quán)限管理裝置����;CA目錄服務(wù)器�����,用于遵循LDAP標準為權(quán)限管理裝置提供用戶數(shù)字證書的目錄服務(wù)�����; PMI主目錄服務(wù)器�,用于遵循LDAP標準提供屬性證書的目錄服務(wù)���,并按權(quán)限管理裝置 發(fā)送來的屬性證書撤銷列表刪除相應(yīng)的屬性證書���; 所述本地從目錄服務(wù)裝置至少包括PMI本地從目錄服務(wù)器�����,用于按照本地復(fù)制策略與PMI主目錄服務(wù)器進行本地數(shù)據(jù)同 步��,并為中間件裝置提供本地應(yīng)用裝置屬性證書的目錄服務(wù)�;中間件裝置,用于接收本地應(yīng)用裝置轉(zhuǎn)發(fā)的用戶登錄請求��,對用戶數(shù)字證書的合法性 進行驗證��,在PMI本地從目錄服務(wù)器、或PMI主目錄服務(wù)器中查找所述用戶相對應(yīng)的屬性證 書���,并將從屬性證書中所獲取的角色信息返回給本地應(yīng)用裝置�����,所述用戶的屬性證書包括 有規(guī)則群體�、工作組或個人的屬性證書����,所述角色信息包括有規(guī)則群體、工作組或個人角色 fn息�;所述授權(quán)管理平臺和本地從目錄服務(wù)裝置通過互聯(lián)網(wǎng)相連,本地從目錄服務(wù)裝置和本 地應(yīng)用裝置通過局域網(wǎng)相連�����。
2.根據(jù)權(quán)利要求1所述的一種基于目錄服務(wù)的授權(quán)管理系統(tǒng)�����,其特征在于����,所述授權(quán) 管理平臺還包括有PMI從目錄服務(wù)器��,和PMI主目錄服務(wù)器��、本地從目錄服務(wù)裝置相連��,用于與PMI主目錄 服務(wù)器進行數(shù)據(jù)同步�����,并對外提供符合LDAP協(xié)議的目錄服務(wù)����。
3.根據(jù)權(quán)利要求1所述的一種基于目錄服務(wù)的授權(quán)管理系統(tǒng)��,其特征在于�,所述權(quán)限 管理裝置進一步包括有權(quán)限管理服務(wù)部件����,用于生成用戶群體、本地應(yīng)用裝置對應(yīng)的應(yīng)用角色信息��,建立用戶 群體和應(yīng)用角色之間的授權(quán)關(guān)系����,并將所述授權(quán)信息交由屬性證書簽發(fā)裝置簽發(fā)���;數(shù)據(jù)同步校驗服務(wù)部件,用于按照定制策略���,對數(shù)據(jù)庫與PMI主目錄服務(wù)器上發(fā)布數(shù) 據(jù)的一致性進行校驗�;屬性證書發(fā)布服務(wù)部件����,用于將屬性證書簽發(fā)裝置簽發(fā)的屬性證書發(fā)送給PMI主目錄 服務(wù)器;數(shù)據(jù)庫��,用于保存系統(tǒng)數(shù)據(jù)����。
4.根據(jù)權(quán)利要求3所述的一種基于目錄服務(wù)的授權(quán)管理系統(tǒng),其特征在于��,所述權(quán)限 管理服務(wù)部件進一步包括有應(yīng)用管理單元�����,用于對所有本地應(yīng)用裝置進行注冊�����,當注冊信息發(fā)送變化時,向授權(quán)管 理單元發(fā)送修改授權(quán)關(guān)系請求消息�����;群體管理單元��,用于從CA目錄服務(wù)器上獲取人員信息���,并生成����、維護用戶群體信息����,當用戶群體信息發(fā)送變化時,向授權(quán)管理單元發(fā)送修改授權(quán)關(guān)系請求消息�;授權(quán)管理單元,用于建立用戶群體和應(yīng)用角色之間的授權(quán)關(guān)系����,或者接收其他單元發(fā) 送來的修改授權(quán)關(guān)系請求消息���,將所述新的授權(quán)信息發(fā)送至屬性證書簽發(fā)裝置進行簽發(fā)����。
5.一種基于目錄服務(wù)的授權(quán)管理系統(tǒng)的實現(xiàn)方法,所述授權(quán)管理平臺和本地從目錄服 務(wù)裝置通過互聯(lián)網(wǎng)相連�����,本地從目錄服務(wù)裝置�����、本地應(yīng)用裝置��、用戶裝置通過局域網(wǎng)相連���, 其特征在于���,包括以下步驟步驟1 授權(quán)管理平臺獲取數(shù)字證書,讀取人員及相應(yīng)的組織機構(gòu)信息���; 步驟2 授權(quán)管理平臺生成用戶群體��;步驟3 授權(quán)管理平臺讀取若干個應(yīng)用裝置相對應(yīng)的應(yīng)用角色���; 步驟4 授權(quán)管理平臺建立用戶群體和應(yīng)用角色之間的授權(quán)關(guān)系���; 步驟5 授權(quán)管理平臺將所述授權(quán)信息簽發(fā)屬性證書; 步驟6 授權(quán)管理平臺將所述屬性證書進行發(fā)布�; 步驟7 本地從目錄服務(wù)裝置與授權(quán)管理平臺進行本地數(shù)據(jù)同步。
6.根據(jù)權(quán)利要求5所述的方法��,其特征在于�����,步驟7中進一步包含有以下步驟 步驟1 授權(quán)管理平臺的PMI主目錄服務(wù)器通知PMI從目錄服務(wù)器進行數(shù)據(jù)同步�; 步驟2 授權(quán)管理平臺的PMI從目錄服務(wù)器通知本地從目錄服務(wù)裝置的PMI本地從目錄服務(wù)器進行本地數(shù)據(jù)同步。
7.根據(jù)權(quán)利要求6所述的方法���,其特征在于����,還包括有以下步驟 步驟1 管理員通過授權(quán)管理平臺修改授權(quán)信息;步驟2 授權(quán)管理平臺對所述請求進行處理,并查找與修改信息相關(guān)的屬性證書�;步驟3 授權(quán)管理平臺簽發(fā)新的屬性證書和屬性證書撤銷列表���;步驟4 授權(quán)管理平臺按屬性證書撤銷列表刪除對應(yīng)的屬性證書�,并發(fā)布新的屬性證書����;步驟5 授權(quán)管理平臺通知本地從目錄服務(wù)裝置進行數(shù)據(jù)同步。
8.根據(jù)權(quán)利要求6所述的方法����,其特征在于,還包括有以下步驟 步驟1 本地從目錄服務(wù)裝置從授權(quán)管理平臺上讀取新增的屬性證書���;步驟2 本地從目錄服務(wù)裝置判斷所述屬性證書是否與本地應(yīng)用裝置相關(guān)�?如果無 關(guān)����,則轉(zhuǎn)向步驟4;步驟3 本地從目錄服務(wù)裝置將所述屬性證書從授權(quán)管理平臺上復(fù)制到本地; 步驟4 本地從目錄服務(wù)裝置從授權(quán)管理平臺上讀取屬性證書撤銷列表�; 步驟5 本地從目錄服務(wù)裝置判斷屬性證書撤銷列表上是否有與本地應(yīng)用裝置相關(guān)的 屬性證書?如果沒有����,則轉(zhuǎn)向步驟7 ;步驟6 本地從目錄服務(wù)裝置刪除對應(yīng)的屬性證書���; 步驟7:本流程結(jié)束����。
9.根據(jù)權(quán)利要求6所述的方法,其特征在于���,還包括有以下步驟 步驟1 用戶使用數(shù)字證書登錄本地應(yīng)用裝置�����;步驟2 本地應(yīng)用裝置向中間件裝置轉(zhuǎn)發(fā)用戶登錄請求���; 步驟3 中間件裝置對用戶的數(shù)字證書信息進行驗證;步驟4 中間件裝置判斷用戶的數(shù)字證書是否通過驗證�?如果沒有通過驗證,則轉(zhuǎn)向步驟7 ����;步驟5 中間件裝置判斷PMI本地從目錄服務(wù)器是否工作正常?(1)�����、如果工作正常��,則中間件裝置從PMI本地從目錄服務(wù)器上查找與所述本地應(yīng)用裝 置有關(guān)的屬性證書�,并將獲取到的應(yīng)用角色信息返回給本地應(yīng)用裝置��;(2)�����、如果不正常,則中間件裝置從PMI從目錄服務(wù)器上查找與所述本地應(yīng)用裝置有關(guān) 的屬性證書��,并將獲取到的應(yīng)用角色信息返回給本地應(yīng)用裝置����;步驟6 本地應(yīng)用裝置根據(jù)所述應(yīng)用角色信息,授予用戶相應(yīng)的訪問權(quán)限�; 步驟7:本流程結(jié)束。
全文摘要
一種基于目錄的授權(quán)管理系統(tǒng)���,包括授權(quán)管理平臺��、至少一個本地從目錄服務(wù)裝置���、至少一個本地應(yīng)用裝置和至少一個用戶裝置,授權(quán)管理平臺�、本地從目錄服務(wù)裝置、本地應(yīng)用裝置�����、用戶裝置通過網(wǎng)絡(luò)相連。本發(fā)明由授權(quán)管理平臺統(tǒng)一對應(yīng)用系統(tǒng)和用戶進行權(quán)限管理�,將用戶群體和應(yīng)用角色之間的授權(quán)信息以屬性證書的形式發(fā)布,并在若干個區(qū)域設(shè)置相應(yīng)的PMI本地從目錄服務(wù)器�,PMI從目錄服務(wù)器根據(jù)策略將屬于本地應(yīng)用裝置的屬性證書復(fù)制到本地,從而快速為本地應(yīng)用系統(tǒng)提供用戶授權(quán)信息��,其應(yīng)用模式精簡���,進一步增加了系統(tǒng)安全性����、有效降低大量用戶并發(fā)時對系統(tǒng)所造成的負載��,同時提高系統(tǒng)可用性�����、降低維護成本���。
文檔編號H04L9/32GK102088350SQ20091021796
公開日2011年6月8日 申請日期2009年12月8日 優(yōu)先權(quán)日2009年12月8日
發(fā)明者丁肇偉, 史鳳濤, 蘇日 申請人:長春吉大正元信息技術(shù)股份有限公司